よむ、つかう、まなぶ。
「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版」 (60 ページ)
出典
| 公開元URL | https://www.soumu.go.jp/menu_news/s-news/01ryutsu06_02000359.html |
| 出典情報 | 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版(案)」に対する意見募集の結果及び当該ガイドラインの公表(7/7)《総務省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
文書(JIS Q 20000-1:2012)。
VPN(仮想私設
網、Virtual
Private Network)
不特定事業者が接続されるネットワーク上に構築された、特定の
事業者間のみを接続する仮想的な閉域網のこと。
アクセスポイン
ト
通常は、無線 LAN アクセスポイントを指す。ノートパソコンや
スマートフォン等の無線 LAN 接続機能を備えた端末を、相互に
接続したり、有線 LAN 等、他のネットワークに接続するための
機器。
医療機関等
病院、一般診療所、歯科診療所、助産所、薬局、訪問看護ステー
ション、介護事業者、医療情報連携ネットワーク運営事業者等。
医療情報システ
ム等
医療情報を取り扱う情報システムやサービス
ざん
改竄
可用性
患者等
完全性
機密性
脅威
クラウドサービ
ス
顕在化率
見読性
合意形成
サービス仕様適
合開示書
情報セキュリテ
ィ事故
情報流
真正性
脆弱性
セキュリティタ
情報を不正に書き換えることである。例えば、ホームページを不
正に書き換えたり、伝送途中の情報を書き換えたりする行為が挙
げられる。
認可されたエンティティが要求したときに、アクセス及び使用が
可能である特性。(JIS Q 27000 を基に定義)
患者本人のほか、患者の家族等で、患者の医療情報を閲覧する権
限を有する者を含む。
正確さ及び完全さの特性。
(JIS Q 27000 を基に定義)
認可されていない個人、エンティティ又はプロセスに対して、情
報を使用させず、また、開示しない特性。(JIS Q 27000 を基に定
義)
組織に損害や影響を与えるリスクを引き起こす要因。
提供形態から、IaaS(Infrastructure as a Service)
、PaaS(Platform as a
Service)及び SaaS(Software as a Service)に分ける。また、実現形
態から、プライベートクラウド、パブリッククラウド及びハイブ
リッドクラウドに分けることができる。
リスクが顕在化する可能性。
電子記憶媒体に保存された内容を、権限保有者からの要求に基づ
き必要に応じて肉眼で見読可能な状態にできることである。
システム、システムの目的、目標、環境、性能、ライフサイク
ル、及びこれらの変化に関する共通理解と明示的合意(契約等)
を確立し維持すること(IEC 62853:2018 による)。
対象事業者が、自ら提供するサービスの仕様につき、本ガイドラ
インへの適合状況を医療機関等へ開示するために作成するための
資料のこと。詳細は、本ガイドライン第 4 章及び別紙 1 にて示す。
機密性、完全性又は可用性が害される状態が発生すること。
提供される医療情報システム等における、電子的又は物理的な情
報の流れ。
正当な人が記録・確認を行った情報について、第三者にとって作成
の責任の所在が明確であり、かつ、故意又は過失による虚偽入力・
書換え・消去・混同 が防止されていること。
脅威によって悪用される可能性がある欠陥や仕様上の問題。
情報処理製品や情報処理システムの、セキュリティ対策方針・セ
54
VPN(仮想私設
網、Virtual
Private Network)
不特定事業者が接続されるネットワーク上に構築された、特定の
事業者間のみを接続する仮想的な閉域網のこと。
アクセスポイン
ト
通常は、無線 LAN アクセスポイントを指す。ノートパソコンや
スマートフォン等の無線 LAN 接続機能を備えた端末を、相互に
接続したり、有線 LAN 等、他のネットワークに接続するための
機器。
医療機関等
病院、一般診療所、歯科診療所、助産所、薬局、訪問看護ステー
ション、介護事業者、医療情報連携ネットワーク運営事業者等。
医療情報システ
ム等
医療情報を取り扱う情報システムやサービス
ざん
改竄
可用性
患者等
完全性
機密性
脅威
クラウドサービ
ス
顕在化率
見読性
合意形成
サービス仕様適
合開示書
情報セキュリテ
ィ事故
情報流
真正性
脆弱性
セキュリティタ
情報を不正に書き換えることである。例えば、ホームページを不
正に書き換えたり、伝送途中の情報を書き換えたりする行為が挙
げられる。
認可されたエンティティが要求したときに、アクセス及び使用が
可能である特性。(JIS Q 27000 を基に定義)
患者本人のほか、患者の家族等で、患者の医療情報を閲覧する権
限を有する者を含む。
正確さ及び完全さの特性。
(JIS Q 27000 を基に定義)
認可されていない個人、エンティティ又はプロセスに対して、情
報を使用させず、また、開示しない特性。(JIS Q 27000 を基に定
義)
組織に損害や影響を与えるリスクを引き起こす要因。
提供形態から、IaaS(Infrastructure as a Service)
、PaaS(Platform as a
Service)及び SaaS(Software as a Service)に分ける。また、実現形
態から、プライベートクラウド、パブリッククラウド及びハイブ
リッドクラウドに分けることができる。
リスクが顕在化する可能性。
電子記憶媒体に保存された内容を、権限保有者からの要求に基づ
き必要に応じて肉眼で見読可能な状態にできることである。
システム、システムの目的、目標、環境、性能、ライフサイク
ル、及びこれらの変化に関する共通理解と明示的合意(契約等)
を確立し維持すること(IEC 62853:2018 による)。
対象事業者が、自ら提供するサービスの仕様につき、本ガイドラ
インへの適合状況を医療機関等へ開示するために作成するための
資料のこと。詳細は、本ガイドライン第 4 章及び別紙 1 にて示す。
機密性、完全性又は可用性が害される状態が発生すること。
提供される医療情報システム等における、電子的又は物理的な情
報の流れ。
正当な人が記録・確認を行った情報について、第三者にとって作成
の責任の所在が明確であり、かつ、故意又は過失による虚偽入力・
書換え・消去・混同 が防止されていること。
脅威によって悪用される可能性がある欠陥や仕様上の問題。
情報処理製品や情報処理システムの、セキュリティ対策方針・セ
54